Skip to Content
Go back
BAS-IP / Güvenlik Politikası

Güvenlik Açığı Bildirim Politikası

Genel Bilgiler

BAS-IP, ürünlerimizde keşfedilen güvenlik açıklarını yönetme ve bunlara yanıt verme konusunda sektör lideri uygulamaları takip etmektedir. Şirketimiz tarafından sağlanan ürün ve hizmetlerin güvenlik açıklarından tamamen arınmış olduğunu garanti etmek imkansızdır. Bu, benzersiz bir özellik değil, tüm yazılımlar ve hizmetler için ortak bir koşuldur, ancak geliştirmenin her aşamasında potansiyel güvenlik açıklarını tespit etmek ve ortadan kaldırmak için çaba göstereceğimizi, böylece BAS-IP ürün ve hizmetlerinin müşteri ortamlarında konuşlandırılmasıyla ilişkili riski azaltacağımızı garanti edebiliriz.

BAS-IP, bazı standart ağ protokollerinin ve hizmetlerinin istismar edilebilecek doğal zayıflıklara sahip olabileceğini kabul etmektedir. BAS-IP bu protokollerden ve hizmetlerden sorumlu olmasa da, BAS-IP ürünleri, yazılımları ve hizmetleriyle ilişkili riskleri azaltmaya yönelik tavsiyeleri çeşitli kılavuzlar şeklinde sunmaktayız.

Politikanın Kapsamı

Bu belgede açıklanan güvenlik açığı yönetimi politikası, BAS-IP markası altındaki tüm ürünler, yazılımlar ve hizmetler için geçerlidir.

Politikanın Kapsamına Girmeyenler

Bazı güvenlik açıkları BAS-IP güvenlik açığı yönetimi politikası kapsamında değildir. Lütfen güvenlik açığı yönetimi politikası kapsamında olmayan güvenlik açığı raporlarını [email protected] adresine göndermeyin:

  • Yüksek ayrıcalıklar ve/veya root/yönetici erişimi ile tetiklenen/yürütülen ve/veya karmaşık kullanıcı etkileşimi gerektiren sosyal mühendislik gerektiren güvenlik açıkları
  • Alt alan adı devralma (Subdomain takeover), örneğin, o anda kullanılmayan bir hizmeti işaret eden bir düğüm üzerinde kontrol kazanma
  • BAS-IP kılavuzlarına uyularak önlenebilecek yanlış kullanıcı yapılandırmaları
  • Üçüncü taraf kullanıcılar veya ortaklar tarafından oluşturulan içerik veya uygulamalardaki güvenlik açıkları, örneğin BAS-IP cihazlarında indirilebilen ve çalıştırılabilen uygulamalar
  • Kullanıcıyı kötü amaçlı bir web sitesini ziyaret etmeye veya BAS-IP cihazlarının web arayüzüne erişirken gizlenmiş bir bağlantıya tıklamaya kandıran Siteler Arası İstek Sahteciliği (CSRF) veya Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açıkları
  • BAS-IP ürünleri, yazılımları veya hizmetlerinde kullanılan yazılım bileşenlerinde veya paketlerinde bulunan, bir CVE tanımlayıcısı ile kaydedilmiş üçüncü taraf açık kaynak güvenlik açıkları. Bu tür yazılım bileşenlerine yaygın örnekler arasında Linux çekirdeği, OpenSSL, AOSP ve diğerleri bulunur
  • X-Frame-Options gibi HTTP(S) güvenlik başlıklarının eksikliği
  • Üçüncü taraf ağ güvenlik tarayıcıları tarafından oluşturulan güvenlik açığı raporları
  • Desteklenmeyen ürünler/yazılımlar/hizmetler
  • Ağ Hizmet Reddi (DoS veya DDoS) testleri veya sisteme veya verilere erişimi bozan veya onlara zarar veren diğer testler

Yükümlülükler

BAS-IP, araştırmacıların BAS-IP ürünleri, yazılımları ve hizmetlerindeki güvenlik açıklarını belirleme ve raporlama çabalarını takdir eder ve teşvik eder. Sorumlu açıklama sürecini takip ederek, BAS-IP ürün güvenlik ekibi, açıklama süreci boyunca karşılıklı işbirliği ve şeffaflık yoluyla araştırmacıların çıkarlarına ellerinden gelen en iyi şekilde saygı gösterecektir.

BAS-IP Şirketi, araştırmacıların 90 günlük sürenin dolmasına veya karşılıklı olarak kararlaştırılan bir tarihe kadar güvenlik açıklarını ifşa etmemesini ve güvenlik açığı araştırmasını yasal sınırlar içinde, zarar vermeden, gizliliği ifşa etmeden veya BAS-IP Şirketi, ortakları ve müşterilerinin güvenliğini tehlikeye atmadan yürütmesini bekler.

Güvenlik Açığı Yönetimi

BAS-IP Şirketi, güvenlik açıklarını iyi bilinen CVSS derecelendirme sistemini kullanarak değerlendirir.

Açık kaynak bileşen güvenlik açıkları ile ilgili olarak, BAS-IP, güvenlik açığını, BAS-IP’nin ürünlerini, yazılımlarını ve hizmetlerini nasıl uygulamayı önerdiği bağlamındaki önemine bağlı olarak değerlendirebilir. Güvenlik danışmanlıkları genellikle yalnızca BAS-IP’ye özgü güvenlik açıkları için sağlanır.

Bir güvenlik açığı değerlendirildiğinde ve düzeltmeye tabi olduğunda öncelik dağılımı:

  • CVSS 3.1 high/critical (7.0 – 10.0)
    BAS-IP, harici açıklamadan önce veya sonraki 4 hafta içinde güvenlik açığını gidermeye çalışır. Açık kaynak bileşenleri için, zaman çizelgesi genellikle daha uzundur, çünkü BAS-IP bilgi, düzeltmeler ve/veya doğrulama için dış taraflara bağlıdır
  • CVSS 3.1 medium (4.0 – 6.9)
    BAS-IP, güvenlik açığını gidermeyi hedefler, genellikle 2-3 ay içinde
  • CVSS 3.1 low (0.1 – 3.9)
    BAS-IP, güvenlik açığını bir sonraki planlı sürümde gidermeyi planlar
  • Desteklenen yazılım/hizmetler
    BAS-IP yazılım/hizmetlerinin destek aşaması, genel yazılım yaşam döngüsü süreci içinde belirlenir. BAS-IP yazılımları/hizmetleri genellikle end-of-life (kullanım ömrü sonu) duyurusundan sonra 1 yıl boyunca desteklenir.

Güvenlik Açığı Raporlama

BAS-IP, ürünlerimizdeki güvenlik açıklarıyla ilişkili riskleri belirlemek ve azaltmak için sürekli çalışmaktadır. Ancak, bir BAS-IP ürünü, yazılımı veya hizmetiyle ilgili bir güvenlik sistemi açığı keşfettiyseniz, sorunu derhal bildirmenizi şiddetle tavsiye ederiz. Güvenlik sistemi açıklarının zamanında bildirilmesi, pratik kullanım olasılığını azaltmak için çok önemlidir. Açık kaynak yazılım bileşenleriyle ilgili güvenlik açıkları doğrudan sorumlu kuruluşa bildirilmelidir.

Potansiyel bir güvenlik açığı keşfeden son kullanıcılar, ortaklar, tedarikçiler, endüstri grupları ve bağımsız araştırmacılar, bulgularını [email protected] adresine veya anonim bir form doldurarak bildirmeye teşvik edilir.

Gönderilen rapor şunları içermelidir:

  • Potansiyel güvenlik açığı hakkında teknik bilgi
  • Yeniden üretme adımları
  • CVSS 3.1’e göre sömürü durumunda tahmini etki ve önem derecesi
  • Varsa araştırmacının kendi güvenlik açığı açıklama politikası

BAS-IP Şirketinden aşağıdakileri bekleyebilirsiniz:

  • İlk yanıt süresi — ilk mesajın alınmasından sonraki 3 iş günü içinde
  • İşlem süresi (ilk yanıtın alındığı andan itibaren) — 10 iş günü içinde
  • Çözümü geciktirebilecek sorular ve sorunlar da dahil olmak üzere, iyileştirme sürecinde attığımız adımlar konusunda mümkün olduğunca şeffaf olacağız
  • Sorunları tartışmak için açık bir diyalog sürdüreceğiz

Güvenlik Açığı Açıklaması

Keşfedilen bir güvenlik açığı raporu incelenip gerçek olduğu onaylandıktan sonra, BAS-IP sorumlu açıklama sürecini başlatır. BAS-IP, CVSS 3.1 değerlendirmesi, güvenlik önerisi içeriği ve/veya basın bültenleri (varsa) ve harici açıklama tarihi gibi ek detaylar konusunda araştırmacı ile işbirliği yapmaya çalışır.

BAS-IP Şirketi ve araştırmacı arasındaki bir anlaşmadan sonra, güvenlik açığı harici amaçlar için BAS-IP Şirketi tarafından güvenlik önerileri ve/veya bir basın bülteni yayınlanarak açıklanacaktır.

Belge Değişiklik Geçmişi

SürümTarihAçıklama
1.015.02.2024İlk sürüm